Tietoturva on tutkimuskohteena todella laaja. Tässä tutkielmassa onnistuttiin rajaamaan tutkittava alue hyvin. Tutkielmassa tutkittiin tietoturvakoulutuksen vaikuttavuutta.
Tietoturvakoulutusta on monenlaista, mutta tässä tutkielmassa tutkittiin vain sähköpostitse tuleviin kalasteluviesteihin reagointia ja koulutuksen vaikutusta siihen.
Tutkielman tuloksia tarkasteltiin sekä kvantitatiivisin että kvalitatiivisin keinoin.
Kvantitatiivinen tutkimus perustuu numeroihin ja tilastoihin. Tilastollisten menetelmien käyttö jäi aineiston muodosta johtuen tässä tutkielmassa suppeaksi. Kvalitatiivisen eli laadullisen tutkimisen avulla pyritään ymmärtämään tutkittavaa ilmiötä kokonaisvaltaisesti. Tässä tutkielmassa nämä menetelmät täydentävät toisiaan.
Tutkittavaan asiaan voidaan näin paneutua monipuolisesti ottaen huomioon ilmiön eri ominaisuudet.
Tutkielman tavoitteena oli tutkia tietojenkalastelusimulaationa järjestetyn koulutuksen vaikutusta työntekijöiden kykyyn tunnistaa sähköpostin kautta tulevia haitallisia tietojenkalasteluviestejä. Tähän kysymykseen saatiin tieteellisesti luotettava vastaus, joka oli ennakolta odotettu. Jatkuvalla tietojenkalastelusimulaatiolla todettiin olevan suuri vaikutus yrityksen työntekijöiden kykyyn tunnistaa haitallisia sähköposteja. Jo tutkielman lyhyen, neljän kuukauden mittaisen, ajanjakson aikana riski haitallisen kalasteluviestin avaamiseen pieneni huomattavasti. Tässä tutkielmassa saatiin siis vahva näyttö siitä, että näiden muuttujien välillä on riippuvuutta.
Henkilöiden sähköpostiin tulevat haitalliset linkit voivat olla vaikeasti havaittavissa monestakin eri syystä. Näin voi olla esimerkiksi silloin, jos viesti tulee “tutulta” taholta.
Tutkielmassa näyttöä saatiin siitä, että koulutuksen jatkuessa kyky tunnistaa kalasteluviestejä paranee. Tässä tutkielmassa otos oli sellainen, että viimeisten kolmen tehtävän kohdalla tulokset eivät tuota relevanttia tietoa. Tehtävässä 15 epäonnistumisprosentti oli vain 1,4 %. Luku on niin alhainen, että oletettavasti jo 15 tehtävää riittäisi varsin hyvin varmistamaan henkilökunnan kyvyn tunnistaa kalasteluviestejä.
Monissa yrityksissä työntekijät saavat valtavan määrän sähköposteja. Se, miten niihin reagoidaan, vaihtelee. Työntekijän olisi löydettävä tärkeimmät ja toimintaa vaativat viestit muiden joukosta ja toisaalta esimerkiksi kalasteluviestejä pitäisi osata välttää.
Tässä erottelussa vaikuttavat monet arkiset tekijät, kuten väsymys. Päivän lopuksi ei ehkä erota sähköpostien virrasta vaarallisia viestejä yhtä hyvin kuin pirteänä.
Koulutuksen tuottajan kannalta linkin avaaminen ei ole pelkästään huono asia. Jos kyseessä on simuloitu viesti, sen avaamisesta ei synny haittaa. Sen sijaan, mikäli viestin vastaanottaja klikkaa linkkiä, hänet ohjataan sivulle, jossa kerrotaan, että kyse oli simulaatiosta. Näin henkilöllä on tilaisuus oppia paremmin tunnistamaan kalasteluviestejä.
Tässä tutkielmassa koulutusjakso oli neljän kuukauden mittainen. Simuloituja viestejä lähetettiin noin viikon välein. Jatkotutkimus voisi selvittää eripituisten koulutusjaksojen toimivuutta. Onko viikon välein tuleva viesti optimaalinen? Entä jos viestejä lähetettäisiinkin vain kerran kuussa esimerkiksi vuoden ajan? Miten se muuttaisi tuloksia? Olisi myös kiinnostava tutkia sitä, miten pitkään saavutettu hyöty säilyy ja kuinka usein koulutusjakso olisi syytä tarjota työntekijöille. Todennäköistä on, että asian jatkuva esillä pitäminen on välttämätöntä hyvän tietoturvan saavuttamiseksi.
Tutkielman asetelmassa alku- ja lopputestin välillä tehtiin interventio, jonka vaikuttavuutta tutkittiin. Kun on kysymys tällaisesta asetelmasta, on syytä pohtia mahdollisia väliin tulevia muuttujia. Onko jokin muu asia kuin koulutus voinut vaikuttaa lopputulokseen? Tällainen väliin tuleva muuttaja voisi olla esimerkiksi tutkitun ajanjakson aikana käyty julkinen keskustelu. Tutkielman otos oli kuitenkin niin laaja, että tämäntapaiset väliin tulevat muuttujat tuskin vaikuttavat lopputulokseen.
Otoksen suuruus, yli 36000 henkilöä, paljastaa sen, että tutkittava yritys on iso. Kun Asiakasyritys Y oli tehnyt päätöksen hankkia tietoturvakoulutusta Yritys X:ltä, lähetettiin kaikille työntekijöille alkutesti. Sen jälkeen työntekijöillä oli mahdollisuus osallistua koulutukseen tai jättää osallistumatta. Tässä tutkielmassa huomiota herättää se, että 36444 henkilöstä vain 2956 halusi osallistua koulutukseen. Jatkossa olisi mielenkiintoista tietää, miksi koulutukseen mukaan lähti niin pieni ryhmä ja millaiset henkilöt valikoituvat koulutukseen. Oliko heillä hyvät valmiudet jo alussa vai kokivatko he taitonsa puutteellisiksi ja osallistuivat sen vuoksi koulutukseen. Tätä voisi jatkotutkimuksissa selvittää.
Koulutuksen aikana Asiakasyrityksen Y työntekijät saivat sähköpostiinsa vaihtelevan määrän simuloituja tietojenkalasteluviestejä. Simuloinnissa voidaan käyttää hyvin
erilaisia tehtäviä. Niiden sisältö ja vaikeustaso vaihtelivat myös tutkitun koulutuksen aikana. Tässä tutkielmassa ei selvitetty viestien sisältöä millään tavalla. Jatkotutkimuksen kannalta voisi olla mielenkiintoista selvittää millaisia reaktioita erityyppiset viestit saavat vastaanottajissa aikaan. Erityisesti se, millaiset viestit ovat kaikkein vaikeimmin havaittavia, olisi tärkeätä tietää. Mahdollisimman monipuolisten tehtävätyyppien käyttäminen tuottaa todennäköisesti koulutukselle parhaan mahdollisen vaikuttavuuden.
Tutkittaessa tietoturvakoulutusta asiakaskunta voitaisiin jakaa pienempiin osiin. Tässä tutkielmassa ei otettu huomioon työntekijöiden aikaisempaa osaamistasoa, työtehtävää tai esimerkiksi kansallisuutta. Myös yrityksen toimiala ja koko voisi olla validi tutkimuskohde tämän aiheen kannalta. Tämä onkin ehdotus jatkotutkimusta ajatellen.
Pienet ja keskisuuret yritykset ovat tietoturvan osalta heikommassa tilanteessa, ja usein vailla tarvittavaa osaamista. Tietojenkalastelusimulaatio on näille yrityksille relevantti koulutuksen kohde, mutta usein havaitut haavoittuvuudet ovat laajemman tietoturvan kannalta niin vakavia, että resurssien käyttämien niihin on perusteltavaa ja jopa suositeltavaa. Suuret yritykset ovat pääosin pystyneet rakentamaan tietoturvaratkaisut tavalla, joka mahdollistaa investointien lisäämisen koulutukseen. Usein suuret yritykset ovat myös havainneet riskit tietojenkalastelun osalta, ja ovat halukkaita panostamaan sen puolen kehittämiseen. Erittäin suuret yritykset ovat usein jo ottaneet seuraavan askeleen tietojenkalastelun estämiseksi, ja näyttävät sitä kautta esimerkkiä. Toisaalta on todettava, että mitä suurempi yritys, sen suurempi on myös todennäköisyys joutua tietojenkalasteluhyökkäyksen uhriksi. Myös kohdistetut tietojenkalasteluyritykset ovat yleisempiä näissä organisaatioissa.
Tulevaisuudessakin yrityksillä on monenlaisia tietoturvaan liittyviä haasteita.
Tietojenkalastelu on yksi niistä. Kalastelua käytetään, kun halutaan päästä käsiksi johonkin arkaluontoiseen. Tietojenkalastelun haittojen minimoimiseksi voidaan muun muassa henkilökunnalle tarjota koulutusta. Tietoturva-aukkojen löytäminen on työläämpi tapa. Hyvin toimiva tietoturvakulttuuri tekee työntekijälle helpoksi uhasta ilmoittamisen.
Uhasta voi ilmoittaa napilla. Sen jälkeen varoitetaan ja reagoidaan.
Yritysten on pakko seurata tarkasti tietoturvaan liittyviä riskejä ja uhkia. Tietoturvasta huolehtiminen vaatii asian jatkuvaa esillä pitämistä. Tekniset ratkaisut, joita tietoturvasta huolehtimisessa käytetään, kehittyvät. Se ei kuitenkaan riitä. Henkilökunnan on oltava tietoisia riskeistä ja uhista. Heidän täytyy toimia vastuullisesti. Tämä vaatii uusien
työntekijöiden huolellista perehdyttämistä ja vanhojen työntekijöiden osaamisen päivittämistä. Tulevaisuudessa tarvitaan monenlaista tietoturvakoulutusta.
Tietoturvakoulutuksen osalta voidaan sanoa, että luokkahuoneopetus ei toimi parhaalla mahdollisella tavalla. Onneksi on muitakin mahdollisuuksia.
Tässä tutkielmassa ei pohdittu yritysten tietoturvakouluksiin liittyviä haasteita. Niiden osalta on todettava, että jatkotutkimukset voisivat olla tarpeen. Eräs tällainen haaste tuli vastaan tätä tutkielmaa tehdessä. Koulutukseen mukaan lähteminen oli vapaaehtoista.
Tämän tutkielman aineistosta voitiin nähdä, että vain hyvin pieni joukko yrityksen koko henkilökunnasta tarttui tähän mahdollisuuteen. Eräänä mahdollisena selityksenä voisi pitää tiedonkulun ongelmia. On mahdollista, että viesti tästä koulutuksesta ei tavoittanut kaikkia työntekijöitä riittävän tehokkaasti.
Koulutuksen järjestäminen työntekijöille lähtee yrityksen tarpeista. Yrityksellä on tavoite, mihin koulutuksen avulla halutaan päästä. Se jälkeen yrityksessä pohditaan, millä resursseilla koulutus järjestetään ja mitä toimenpiteitä tehdään. Joskus näiden pohdintojen seurauksena syntyy jonkinlainen muutos yrityksen tietoturvakulttuurissa.
Yritys X:n kannattaa pohtia, tuottaako heidän palvelunsa sen tuotoksen, jota varten se on olemassa. Millaisia vaikutuksia toiminnalla on asiakasyrityksen kannalta ja syntyykö välittömistä tuloksista pitkäkestoista vaikutusta? Vaikuttavuuden arvioinnissa verrataan lopputilannetta alkutilanteeseen. On syytä miettiä, keiden osalta interventio oli vaikuttava, millä lailla ja miksi. Vaikuttavuus saavutetaan tässä tutkielmassa koulutuksen avulla ja koulutus synnyttää muutoksen tietoturvallisuuden osaamisessa. Vaikuttavuutta on tässä tapauksessa mahdollista mitata yksinkertaisin keinoin.
Tässä tutkielmassa saaduilla tuloksilla on merkitystä käytännössä. Jokainen yritys kohtaa riskejä tietojenkalastelun myötä. Näitä riskejä voidaan tämän tutkielman johtopäätösten mukaan helposti hallita ja pienentää jatkuvan simuloidun tietojenkalastelukoulutuksen avulla. Yrityksen tietoturvan kannalta vaikuttaa sitä, että koulutukseen investoiminen kannattaa. Koulutuksella saatava hyöty on huomattava. Kyky tunnistaa sähköpostin kautta tulevia haitallisia tietojenkalasteluviestejä paranee paljon jo lyhyelläkin ajanjaksolla.
LÄHDELUETTELO
Alaskar, Mohamed, Shahper Vodanovich & Kathy Ning Shen (2015). Evolvement of information security research on employees' behavior: A systematic review and future direction. Proceedings of the Annual Hawaii International Conference on System Sciences 2015, 4241-4250. Saatavissa: doi:10.1109/HICSS.2015.508.
Almomani, Ammar, B. B. Gupta, Samer Atawneh, A. Meulenberg & Eman Almomani (2013). A Survey of Phishing Email Filtering Techniques. IEEE Communications Surveys & Tutorials 15:4, 2070-2090. Saatavissa: doi:
10.1109/SURV.2013.030713.00020.
Bannert, Maria (2002). Managing Cognitive Load—recent Trends in Cognitive Load Theory. Learning and Instruction 12:1, 139-146. Saatavissa: doi: 10.1016/S0959-4752(01)00021-4.
Chaudhary, Sunil (2016). The Use of Usable Security and Security Education to Fight Phishing Attacks. Tampereen yliopisto. Tietojenkäsittelyoppi. Akateeminen väitöskirja. Tampere. Saatavissa: http://urn.fi/URN:ISBN:978-952-03-0292-4.
Chaudhry, Junaid Ahsenali, Shafique Ahmad Chaudhry & Robert G. Rittenhouse.
Phishing Attacks and Defenses. International Journal of Security and Its Applications 10:1, 247-256. Saatavissa: doi: 10.14257/ijsia.2016.10.1.23.
Colwill, Carl (2009). Human factors in information security: The insider threat – Who can you trust these days?. Information Security Technical Report 14:4, 186-196.
Saatavissa: doi: 10.1016/j.istr.2010.04.004.
Computer Security Institute (2009). CSI Computer Crime and Security Survey - Executive Summary [Viitattu 21.4.2020]. Saatavissa:
http://www.personal.utulsa.edu/~james-childress/cs5493/CSISurvey/CSISurvey2009.pdf.
Computer Weekly (2019). Almost half UK firms hit by phishing attacks. Computer Weekly: Warcik Ashford [Viitattu 20.4.2020]. Saatavissa:
https://www.computerweekly.com/news/252459363/Almost-half-UK-firms-hit-by-phishing-attacks.
Cox, Andrew, Sarah Connolly & James Currall (2001). Raising Information Security Awareness in the Academic Setting. VINE 31:2, 11-16. Saatavissa:
doi:10.1108/03055720010803961.
Danielsson, Petri (2019). Rikollisuustilanne 2018: Rikollisuuskehitys tilastojen ja tutkimusten valossa. Katsauksia, no. 36/2019. Helsingin yliopisto, kriminologian ja oikeuspolitiikan instituutti. Helsinki. ISSN 2342-7779. Saatavissa:
http://urn.fi/URN:ISBN:978-951-51-0667-4.
Downs, Julie, Mandy Holbrook & Lorrie Cranor (2007). Behavioral response to phishing risk. Proceedings of the anti-phishing working groups 2nd annual eCrime
researchers summit, 37-44. Saatavissa: doi:
10.1145/1299015.1299019.
Gragg, David (2003). A Multi-Level Defense Against Social Engineering. SANS Institute:
Information Security Reading Room [Viitattu 22.4.202]. Saatavissa:
https://www.sans.org/reading-room/whitepapers/engineering/multi-level-defense-social-engineering-920.
Hadnagy, Christopher & Michele Fincher (2015). Phishing Dark Waters. The Offence and Defensive Sides of Malicious E-mails. Indianapolis: John Wiley & Sons, Inc..
ISBN 978-1-118-95847-6.
Hakala, Mika, Mika Vainio & Olli Vuorinen (2006). Tietoturvallisuuden käsikirja.
Jyväskylä: Dodenco. ISBN 951-846-273-9.
Harrison, Brynne, Elena Svetieva & Arun Vishwanath (2016). Individual Processing of Phishing Emails: How Attention and Elaboration Protect against Phishing. Online Information Review 40:2, 265-281. Saatavissa: doi:10.1108/OIR-04-2015-0106.
Heartfield, Ryan & George Loukas (2015). A taxonomy of attacks and a survey of defence mechanisms for semantic social engineering attacks. ACM Computer Surveys 48:3, 1-39. Saatavissa: doi: 10.1145/2835375.
Heikkilä, Tarja (2014). Tilastollinen tutkimus. Helsinki: Edita Publishing Oy, 2014. ISBN 9789513769420. Saatavissa: http://www.tilastollinentutkimus.fi/index.html.
Helsingin seudun kauppakamari, Helsingin kamari, Juha-Matti Heljaste, Jari Korkiamäki, Heljo Laukkala, Juha Mustonen, Jere Peltonen, Panu Vesterinen & Esa Nurminen (2008). Yrityksen Turvallisuusopas. Helsinki: Helsingin seudun kauppakamari.
ISBN 978-952-99823-6-3.
Herath, Tejaswini & H.R. Rao (2009). Encouraging information security behaviors in organizations: Role of penalties, pressures and perceived effectiveness. Decision Support Systems 47:2, 154-165. ISSN 0167-9236. Saatavissa:
doi:10.1016/j.dss.2009.02.005.
Höne, Karin & J.H.P. Eloff (2002). Information security policy — what do international information security standards say? Computers & Security 21:5, 402-409.
Saatavissa: doi:10.1016/S0167-4048(02)00504-7.
Hong, Jason (2012). The State of Phishing Attacks. Communications of the ACM 55:1, 74-81. Saatavissa: doi:10.1145/2063176.2063197.
Hu, Qing, Tamara Dinev, Paul Hart & Donna Cooke (2012). Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture. Decision Sciences 43:4, 615-660.
Saatavissa: doi:10.1111/j.1540-5915.2012.00361.x.
Il-kwon, Lim, Young-Gil Park & Jae-Kwang Lee (2016). Design of Security Training System for Individual Users. Wireless Personal Communications 90:3, 1105-1120.
ISSN 1572-834X. Saatavissa: doi: 10.1007/s11277-016-3380-z.
Information Age (2019). Phishing attacks hook almost half of UK firms. Information Age:
Andrew Ross [Viitattu 20.4.2020]. Saatavissa: https://www.information-age.com/phishing-attacks-hook-almost-half-of-uk-firms-123480666/.
Jagatic, Tom, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer (2007). Social phishing. Communications of the ACM 50:10, 94-100. Saatavissa:
doi:10.1145/1290958.1290968.
Jansson, K. & R. Von Solms (2013). Phishing for Phishing Awareness. Behaviour &
Information Technology 32:6, 584-593. Saatavissa: doi:
10.1080/0144929X.2011.632650.
Järvinen, Petteri (2018). Kyberuhkia ja somesotaa. Digiaikana sinäkin olet etulinjassa.
Jyväskylä: Dodenco. ISBN 978-952-291-528-3.
Karjalainen, Mari (2011). Improving employees’ information systems (IS) security behavior : toward a meta-theory of IS security training and a new framework for understanding employees' IS security behavior. Oulun yliopisto.
Luonnontieteellinen tiedekunta. Akateeminen väitöskirja. Oulu. Saatavissa:
http://urn.fi/urn:isbn:9789514295676.
Karjalainen, Mari & Mikko Siponen (2011). Toward a New Meta-Theory for Designing Information Systems (IS) Security Training Approaches. Journal of the Association for Information Systems 12:8, 518-555. Saatavissa: doi: 10.17705/1jais.00274.
Kauppakamari (2017). Yritysten rikosturvallisuus 2017: Riskit ja niiden hallinta.
Helsinki: Keskuskauppakamari [Viitattu 22.4.2020]. ISBN 978-952-5620-85-6.
Saatavissa: https://kauppakamari.fi/wp-content/uploads/2017/10/yritysten-rikosturvallisuus-2017web.pdf.
Kauppakamari (2018a). Yrityksiin kohdistuva rikollisuus jatkaa kasvuaan. Helsinki:
Keskuskauppakamari [Viitattu 23.4.2020]. Saatavissa.
https://kauppakamari.fi/2018/04/23/yrityksiin-kohdistuva-rikollisuus-jatkaa-kasvuaan/.
Kauppakamari (2018b). Sähköpostitunnukset vaarassa – varo uutta turvapostiviestiksi naamioitunutta huijausviestiä. Helsinki: Keskuskauppakamari [Viitattu 22.4.2020]. Saatavissa. https://helsinki.chamber.fi/sahkopostitunnukset-vaarassa-varo-uutta-turvapostiviestiksi-naamioitunutta-huijausviestia/.
Kay, Russell (2004). Sidebar: The Origins of Phishing. Computerworld [Viitattu 24.4.2020]. Saatavissa: https://www.computerworld.com/article/2575094/sidebar--the-origins-of-phishing.html.
Kinnunen, Nina (2015). Tietoturvaohjeistuksen noudattamisen motivaatio ja sen muuttuminen. Vaasan yliopisto. Teknillinen tiedekunta. Akateeminen väitöskirja.
ISBN 978-952-476-637-1. Saatavissa:
https://www.univaasa.fi/materiaali/pdf/isbn_978-952-476-637-1.pdf.
Ku, Cheng-Yuan, Yi-Wen Chang, & David C. Yen (2009. National Information Security Policy and Its Implementation: A Case Study in Taiwan. Telecommunications Policy 33:7, 371-384. Saatavissa: doi:10.1016/j.telpol.2009.03.002.
Kumaraguru, Ponnurangam, Justin Cranshaw, Alessandro Acquisti, Lorrie Cranor, Jason Hong, Mary Blair & Theodore Pham (2009). School of Phish: A Real-world Evaluation of Anti-phishing Training. SOUPS ’09 Proceedings of the 5th Symposium on Usable Privacy and Security 3, 1-12. Saatavissa: doi:
10.1145/1572532.1572536.
Kyberturvallisuuskeskus (2017). Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä. Helsinki: Viestintävirasto [Viitattu 22.4.2020]. Saatavissa:
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Nain_meita_
huijataan.pdf.
Kyberturvallisuuskeskus (2018b). Office 365 -sähköpostin tietojenkalastelu ja tietomurrot erittäin yleisiä – havaitse, suojaudu, tiedota!. Helsinki: Liikenne ja viestintäministeriö [Viitattu 22.4.2020]. Saatavissa:
https://www.kyberturvallisuuskeskus.fi/fi/office-365-sahkopostin-tietojenkalastelu-ja-tietomurrot-erittain-yleisia-havaitse-suojaudu-tiedota.
Kyberturvallisuuskeskus (2020a). Kyberturvallisuus ja yrityksen hallituksen vastuu
[Verkkodokumentti]. Saatavissa:
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/T_Ky Kyber_digiAUK_220120.pdf.
Kyberturvallisuuskeskus (2020b). Toimi näin, jos havaitset tietoturvapoikkeaman.
Helsinki: Liikenne ja viestintäministeriö [Viitattu 22.4.2020]. Saatavissa:
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/toimi-nain-jos-havaitset-tietoturvapoikkeaman.
Laaksonen, Mika, Terho Nevasalo & Karri Tomula (2006). Yrityksen Tietoturvakäsikirja:
Ohjeistus, Toteutus Ja Lainsäädäntö. Helsinki: Edita. ISBN 951-37-4701-8.
Leppänen, Juha (2006). Yritysturvallisuus Käytännössä: Turvallisuusjohtamisen Portfolio. Helsinki: Talentum. ISBN 952-14-0887-1.
Li, Ying (2015). Users’ information systems (IS) security behavior in different contexts.
Oulun yliopisto. Tieto- ja sähkötekniikan tiedekunta. Akateeminen väitöskirja.
Oulu. Saatavissa: http://urn.fi/urn:isbn:9789526209395.
Liang, Huigang & Yajiong Xue (2010). Understanding Security Behaviors in Personal Computer Usage: A Threat Avoidance Perspective*. Journal of the Association for Information Systems 11:7, 394-413. ISSN 1536-9323. Saatavissa: doi:
10.17705/1jais.00232.
Limnéll, Jarno, Majewski Klaus & Salminen Mirva (2014). Kyberturvallisuus. Jyväskylä:
Dodenco. ISBN 978-952-291-047-9.
Moody, Gregory (2011). A multi-theoretical perspective on IS security behaviors. Oulun yliopisto. Luonnontieteellinen tiedekunta. Akateeminen väitöskirja. Oulu.
Saatavissa: http://urn.fi/urn:isbn:9789514295614.
Myyry, Liisa, Mikko Siponen, Seppo Pahnila, Tero Vartiainen & Anthony Vance (2009).
What Levels of Moral Reasoning and Values Explain Adherence to Information Security Rules? An Empirical Study. European Journal of Information Systems:
Special Issue: Behavioral and Policy Issues in Information Systems Security 18:2, 126-139. Saatavissa: doi:10.1057/ejis.2009.10.
Niermeyer, Rainer & Manuel Seyffert (2004). Motivaatio. Helsinki: Rastor Oy. ISBN 9789525024524.
Nurmi, Jari-Erik & Katariina Salmela-Aro (2005). Modernin motivaatiopsykologian perusta ja käsitteet. Teoksessa: Mikä meitä liikuttaa. Modernin motivaatiopsykologian perusteet, 10-27. Toim. Jari-Erik Nurmi. Keuruu: PS-Kustannus. ISBN 9789524510554.
Nuutila, Ari-Matti & Martti Majanen (2009). RL 36 Luku. Petos ja muu epärehellisyys.
Teoksessa: Rikosoikeus, 973-1005. Toim. Tapio Lappi-Seppälä, Kaarlo Hakamies, Pekka Koskinen, Martti Majanen, Sakari Melander, Kimmo Nuotio, Ari-Matti Nuutila, Timo Ojala, ja Ilkka Rautio. Helsinki: WSOYpro. ISBN 978-951-0-33997-8.
Nykänen, Kari (2011). Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen. Oulun yliopisto. Luonnontieteellinen tiedekunta. Akateeminen väitöskirja. Oulu. Saatavissa:
http://urn.fi/urn:isbn:9789514295713.
Ollmann, Gunter (2007). The Phishing Guide Understanding & Preventing Phishing Attacks. USA: IBM Global Technology Services [Viitattu 24.4.2020]. Saatavissa:
https://www.scribd.com/document/219802442/The-Phishing-Guide-Understanding-Preventing-Phishing-Attacks-IBM-Internet-Security-Systems.
Parmar, Bimal (2012). Protecting against Spear-phishing. Computer Fraud & Security 2012:1, 8-11. Saatavissa: doi 10.1016/S1361-3723(12)70007-6.
Pattinson, Malcolm, Cate Jerram, Kathryn Parsons, Agata McCormac & Marcus Butavicius. (2012). Why Do Some People Manage Phishing E-mails Better Than Others?. Information Management & Computer Security 20:1, 18-28. Saatavissa:
doi:10.1108/09685221211219173.
Pollock, E., P. Chandler & J. Sweller (2002). Assimilating Complex Information.
Learning and Instruction 12:1, 61-86. Saatavissa: doi: 0.1016/S0959-4752(01)00016-0.
Prem, Santi Priyanka & B. Indira Reddy (2019). Phishing and Anti-Phishing Techniques.
International Research Journal of Engineering and Technology 6:7, 1446-1452.
ISSN 2395-0056. Saatavissa: https://www.irjet.net/archives/V6/i7/IRJET-V6I7184.pdf.
Puhakainen, Petri (2006). A design theory for information security awareness. Oulun yliopisto. Luonnontieteellinen tiedekunta. Akateeminen väitöskirja. Oulu.
Saatavissa: http://urn.fi/urn:isbn:9514281144.
Puolimatka, Tapio (2002). Opetuksen teoria: Konstruktivismista realismiin. Helsinki:
Tammi. ISBN 951-26-4816-4.
Räikkönen, Iiro-Antti (2017). Motivations behind employee information security behavior. Jyväskylän yliopisto. Tietojenkäsittelytieteen laitos. Progradu -tutkielma. Saatavissa: http://urn.fi/URN:NBN:fi:jyu-201708313625.
Rikoslaki 19.12.1889/36.
Rikoslaki 19.12.1889/38.
Rikoslaki 19.12.1889/39.
Robila, Stefan A. & James W. Ragucci (2006). Don't be a phish: Steps in user education.
ACM SIGCSE Bulletin 38:32, 237-241. Saatavissa: doi:
10.1145/1140123.1140187.
Roy Sarkar, Kuheli (2010). Assessing insider threats to information security using technical, behavioural and organizational measures. Information Security Technical Report 15:3, 112–133. Saatavissa: doi:10.1016/j.istr.2010.11.002.
Ruohotie, Pekka (1998). Motivaatio, Tahto Ja Oppiminen. Helsinki: Edita. ISBN 951-37-2628-2.
Ryan, Richard & Edvard Deci (2000). Intrinsic and Extrinsic Motivations: Classic Definitions and New Directions. Contemporary Educational Psychology 25:1, 54-67. Saatavissa: doi:10.1006/ceps.1999.1020.
Sanastokeskus (2015). Tietoturva. Saatavissa:
http://www.tsk.fi/tsk/termitalkoot/fi/node/266.
Schimanke, Florian, Robert Mertens & Oliver Vornberger (2013). What to learn next?
Content selection support in mobile game-based training. Conference: E-LEARN World Conference on E-Learning [Verkkodokumentti]. Saatavissa:
https://www.researchgate.net/publication/261952026.
Sheng, Steve, Bryant Magnien, Ponnurangam Kumaraguru, Alessandro Acquisti, Lorrie Cranor, Jason Hong & Elizabeth Nunge (2007). Anti-Phishing Phil: The Design and Evaluation of a Game That Teaches People Not to Fall for Phish. SOUPS ’07 Proceedings of the 3rd Symposium on Usable Privacy and Security, 88-99.
Saatavissa: doi: 10.1145/1280680.1280692.
Siponen, Mikko (2000). A conceptual foundation for organizational information security awareness. Information Management & Computer Security 8:1, 31-41. Saatavissa:
doi:10.1108/09685220010371394.
Spears, Janine & Henri Barki (2010). User Participation in Information Systems Security Risk Management. Management Information Systems 34:3, 503-522. ISSN 0276-7783. Saatavissa: doi: 10.2307/25750689.
Speed, Tim, Darla Nykamp, Mari Heiser, Joseph Anderson & Jaya Nampalli (2014).
Mobile Security: How to secure, privatize and recover your devices. Network Security 2014:4, 4. Saatavissa: doi:10.1016/S1353-4858(14)70017-0.
Stanton, Jeffrey, Katharyn Stam, Paul Mastrangelo & Jeffrey Jolton (2005). Analysis of end user security behaviors. Computers & Security 24:2, 124-133. Saatavissa:
doi:10.1016/j.cose.2004.07.001.
Sumner, Alex & Xiaohong Yuan (2019). Mitigating Phishing Attacks: An Overview.
ACM SE '19: Proceedings of the 2019 ACM Southeast Conference [Viitattu 22.4.2020], 72-77. Saatavissa: doi: 10.1145/3299815.3314437.
Thomson, Kerry-Lynn & Rossouw Von Solms (2005). Information Security Obedience:
A Definition. Computers & Security 24:1, 69-75. Saatavissa: doi:
10.1016/j.cose.2004.10.005.
Tietotekniikan liitto & Ilmari Pietarinen (2008). Atk-sanakirja: Tietotekniikan monikielinen hakuteos. 1, Termit, määritelmät ja vastineet eri kielillä. 14. uud. p.
Helsinki: Talentum. ISBN 978-952-14-1093-2.
Twitchell, Douglas (2006). Social Engineering in Information Assurance Curricula.
InfoSecCD '06: Proceedings of the 3rd annual conference on Information security
curriculum development [Viitattu 22.4.2020]. 191-193. ISBN 1595934375.
Saatavissa: doi: 10.1145/1231047.1231062.
Tynjälä, Päivi (1999). Oppiminen tiedon rakentamisena: Konstruktivistisen oppimiskäsityksen perusteita. Helsinki: Kirjayhtymä. ISBN 951-26-4419-3.
Van Niekerk, J.F. & R. Von Solms (2010). Information security culture: A management perspective. Computers & Security 29:4, 476-486. Saatavissa:
doi:10.1016/j.cose.2009.10.005.
Vartiainen, Matti & Kirsi Nurmela (2005). Tavoitteet ja tulkinnat – motivaatio ja palkitseminen työelämässä. Teoksessa: Mikä meitä liikuttaa. Modernin motivaatiopsykologian perusteet, 188-212. Toim. Jari-Erik Nurmi. Kuruu: PS-Kustannus. ISBN 9789524510554.
Vishwanath, Arun, Tejaswini Herath, Rui Chen, Jingguo Wang & H. Raghav Rao (2011).
Why Do People Get Phished? Testing Individual Differences in Phishing Vulnerability Within an Integrated, Information Processing Model. Decision Support Systems 51:3, 576-586. Saatavissa: doi:10.1016/j.dss.2011.03.002.
Yleinen suomalainen asiasanasto (2019). Tietoturva. [viitattu 24.4.2020]. Saatavissa:
http://www.yso.fi/onto/ysa/Y106522.
LIITE 1.
Wilcoxin testin tulokset
LIITE 2.
Ote aineistosta